Chaos Labs創設者:仮想通貨市場における未だ確立されていない防衛線

比推BitPush
比推BitPush
仮想通貨のセキュリティ問題は、本質的には市場インセンティブの問題である。

執筆者:オマー・ゴールドバーグ(カオス・ラボ創設者)

編集・編集:BitpushNews

私がChaosを設立したのは、二つのことを信じているからです。

  • 金融の未来はブロックチェーンにある。
  • 将来においては、いかなるバージョンにおいても、オンチェーンシステムが、それが置き換えるシステムよりもセキュリティが低い状態になることは許されないだろう。

5年経った今でも、この2つの点は依然として真実である。

Chaosは、Aave、Ethena、Kraken、PayPal、LayerZero、Jupiter、GMXといったパートナー企業と共に、このビジョン実現に向けて取り組んでおり、累計数兆ドル規模の取引量を処理しながら、不良債権はゼロを目指しています。

すべてのセキュリティインシデントは、同じ筋書きで進行する。

しかし、この分野で5年間専念して研究してきたということは、同時に、うまくいかないことが次々と起こる状況を注意深く観察できるようになったということでもある。

どのエクスプロイトも同じ手順を踏む。

一部の通信回線の不具合により数百万ドルの損失が発生し、仮想通貨関連のTwitterユーザーの間で怒りの声が上がっている。

これはひどい、と誰もが同意するだろう!

しかし数週間後、私たちは次の茶番劇へと移っていった。人々の関心が薄れるにつれ、実質的な変化は何も起こらなかった。

人々は、特定のチーム、特定の脆弱性、あるいは見落とされたチェックポイントといった点にばかり注目しがちです。確かに、こうした分析が重要な場合もあります。私もこのテーマについて多くの記事を書いてきました。

しかし、同じサイクルを何年も観察した結果、そのパターンが明らかになった。これらは単なる孤立した失敗ではないのだ。

私たちの業界構造は、こうした結果を生み出すように構築されています。

励起

チャーリー・マンガーはかつてこう言った。「インセンティブについて教えてくれれば、結果を教えてあげよう。」

従来の金融業界やWeb2セキュリティにおいては、顧客資金や重要システムにアクセスする時点で、リスク管理は**裁量権のない(義務的な)**ものとなります。そこには、基準、監査、調達要件、保険会社、規制機関など、様々な要素が存在します。どれも完璧ではありませんが、それらが一体となって最終的な基準を形成します。

仮想通貨はこれまでそのような層を構築したことがない。

はい、仮想通貨にはセキュリティ上の問題があります。

しかし、この安全性の問題は下流製品に関するものであり、その上流にあるのはより大きな市場インセンティブの問題である。

その構造がなければ、成長は進歩のように見え、リスクはコストのように見えてしまう。

合理的な意思決定と正しい意思決定は同じものではなく、インセンティブの仕組みが変わらない限り、両者は同じものにはならないだろう。

市場はどのように設立されるのか

クラウドセキュリティ企業の年間売上高(ARR)が500万ドルで、適切なニッチ市場で急速に成長している場合、買収者や投資家は、その売上高の20倍の評価額でその企業を巡って争奪戦を繰り広げるだろう。

GoogleはWizを320億ドルで買収したが、これはWizの将来の収益の30倍以上の評価額に相当する。

これらの評価額は、根拠もなく生まれたものではない。

それらが存在するのは、既に買い手が存在するからであり、買い手が存在するのは、規制によってそれらを生み出したからである。

決済データを扱う場合、PCI DSSはあなたが負うべき責任を明確に示します。

上場企業の場合、SEC(米国証券取引委員会)の規則により、重大なサイバーセキュリティインシデントを開示することが義務付けられています。

この説明責任の仕組みが明確になれば、予算、調達プロセス、業界区分などもそれに続いて定められるだろう。

ゲーム、ソーシャルアプリケーション、B2Bソフトウェアの開発もできたはずの天才たちが、高い報酬を求めてセキュリティ製品の開発を選んだのは、まさにそのためだった。責任感が需要を生み出し、需要が才能を引きつけ、そして才能こそがシステムをより安全にするための真の核心なのだ。

効率的な市場は、業界が最も必要とする人材を引きつけるだろう。

証拠はコンプライアンス関連書類の中にあります。

「でも、仮想通貨にも大手セキュリティ企業は存在するじゃないか。ChainalysisやTRMはどうなんだ?」と言う人もいるかもしれない。

これはまさに私の主張を裏付けるものです。これらの企業が存在する理由を考えてみてください。

米国で資金サービス事業を営んでいる場合(ほとんどの仮想通貨関連企業がこれに該当します)、銀行秘密法(BSA)、OFAC制裁スクリーニング、およびFinCENのマネーロンダリング対策要件を遵守する必要があります。

  • 司法省(DOJ)は以前、資金洗浄対策を怠ったとして、OKXに5億ドル以上の罰金を科した。
  • Bittrexは、ユーザーがシリア、イラン、キューバに対する制裁を回避できるようにするため、2900万ドルを支払った。

さらに、この規制執行は弱まるどころか、ますます強化されている。GENIUS法により、決済関連のステーブルコインがBSA(銀行秘密法)の管轄下に置かれ、FinCEN(金融犯罪取締ネットワーク)の新たな内部告発制度により、元従業員はコンプライアンス違反を報告する経済的なインセンティブを持つようになった。

企業はコンプライアンスソリューションを1つだけ購入するわけではありません。2つ、3つ購入するのです。なぜなら、司法省や金融犯罪取締ネットワーク(FinCEN)が責任を追及してきた際に問われるのは、「最善の努力」をしたかどうかだけだからです。

これは「サイバーセキュリティ支援」(CYA)のためのインフラです。

IRSは、長年Chainalysisを利用していたにもかかわらず、TRMのサービス開始直後からTRMとの連携を開始した。これは、リスクを一つのシステムに集中させたくなかったためである。TRMの企業価値は10億ドル、Chainalysisの企業価値はピーク時には86億ドルに達した。

それらが存在する理由はただ一つ、購入者がこの問題が重要かどうかを考える必要がないようにするためだ。

そのギャップはどこにあるのか?

それでは、具体的にどの分野にその強制機能が欠けているのかを見ていきましょう。

  • 利用者の預金総額が20億ドルに上る融資契約には、銀行秘密法のようなものは存在しない。
  • 数十億件の注文フローを処理するものの、清算エンジンのストレステストを実施しない無期限契約型DEX(Perp DEX)には、OFACのような説明責任メカニズムは存在しない。
  • ガバナンスのパラメータや複数の署名が変更され、システムリスクが増大した場合でも、開示を義務付ける要件はありません。
  • 契約において利用者資金を用いて新たな保管戦略を立ち上げる場合、調達に関する要件は発生しない。

ChainalysisとTRMは私の主張を否定するものではない。むしろ、彼らこそが私の主張そのものである。強制的な規制が存在する場所には市場が確立され、規制が存在しない場所には市場は存在しない。

私は規制を擁護するためにここにいるのではありません。

2013年に私が初めてビットコインのホワイトペーパー(オタクのスナイプ)に魅了された頃に、いつかこんな記事を書くことになるだろうと言われても、信じなかっただろう。

私は学校を退学になり、大学も中退しました。指示に従うタイプではなかったんです。長年Meta/Instagramで働いていましたが、そこのモットーは「速く動いて、常識を打ち破れ」でした。

そのため、私は強い反権威主義的な考え方を持って暗号通貨の世界に足を踏み入れました。中央集権的な権威に指図されることなく、より良いものを築き上げることができると固く信じているからです。

しかし10年以上経って、ようやくユーザーを保護するための基準やルールが存在する理由が理解できた。それはそれらが完璧だからではない。明らかに完璧ではないのだ。

むしろ、完全に自由に振る舞えるようになった時、私たちは自分たちの真の優先事項が何であるかを繰り返し示すからこそ、そうなるのだ。

私たちは自由を手に入れた。私たちは時間を手に入れた。

業界の現状は私たちの選択の結果であり、その結果は明白だ。

逆選択

強制的な措置がなければ、市場は逆転するだろう。

健全な市場においては、セキュリティ対策を最も必要とする組織ほど、それを採用する可能性が高くなる。なぜなら、それは不可欠だからである。

しかし、仮想通貨の世界では状況は全く逆である。

  • 優秀なチームは、長期的な存続を目指しているため、セキュリティ/リスク管理のインフラを早期に導入する。
  • 最も弱いチームは、需要が明白になるような出来事が起こるまで、先延ばしにしたり、焦点を絞り込んだり、価格を比較したりし続ける。そして、こうしたチームこそが失敗する可能性が最も高いのだ。

このカテゴリーは最終的に逆選択によって形成された。つまり、システム的な観点から見ると、最も保護を必要とするチームこそが、まさにその費用を負担する可能性が最も低いチームなのである。

根本的な非対称性は非常に単純だ。

成長状況はダッシュボードや投資家向けアップデートに反映されます。

セキュリティ対策の実態は「何も起こらない」という形で現れる。規制市場では、「何も起こらない」ということは、コンプライアンス、監査準備、取締役会報告、保険会社の要件を満たすことを意味する。しかし、仮想通貨の世界では、「何も起こらない」ことは何のメリットにもならない。それは単に削減可能なコスト項目に見えるだけだ。

こうしたインセンティブメカニズムの中で行動する合理的な買い手は、投資を延期する理由を常に見つけることができる。

あなたは、成長に対して報酬を得る顧客層に対し、「災害の不在」を売り込んでいるのです。

市場構造の欠如は、「誰が買うか」だけでなく、「何を買うか」や「どれだけ買うか」にも影響を与える。

バンク・オブ・アメリカは、収益の6~10%をコンプライアンスに費やしている。

米国とカナダの金融機関は、金融犯罪対策に年間610億ドル以上を費やしている。この支出は、根本的な法的責任が避けられないものであるために発生する。

一方、2025年のDeFi分野におけるバグ報奨金の総額は1億1200万ドルに達した。これは、業界の積極的なセキュリティ投資を定量化できる数少ない指標の一つであり、プロトコル収益310億ドルのわずか約0.33%に過ぎない。同年、業界は脆弱性の悪用により34億ドルの損失を被った。

損失に直面した場合、予防予算は単なる誤差に過ぎない。

この格差は偶然ではない。規制産業では、セキュリティ予算は四半期ごとの市場動向ではなく、義務履行状況に基づいて策定される。責任感が一定であるため、市場の低迷にも耐えうる。しかし、暗号資産分野では支出は裁量的なものであり、景気循環の影響を受けやすい。

彼らは景気後退期に姿を消した。

同じプロトコルでも、インセンティブ、トークン上場、KOL(キーオピニオンリーダー)のプロモーション、カンファレンスのスポンサーシップには多額の投資を行うかもしれないが、リスクやセキュリティに関わるプロジェクトになると、再び倹約的になる可能性がある。

これは、ほとんどの人が予想していなかったような複合的な効果を生み出す。

リスク管理やセキュリティ対策のインフラを構築する企業は、需要に基づいて事前に人材を確保することも、景気後退期に研究開発を維持することも、安定した収益基盤を持つ企業のように複利効果を生み出すこともできない。

各サイクルごとに製品カテゴリーの成熟度がリセットされるため、業界のセキュリティインフラは、保護対象規模に比べて常に未発達な状態にある。

1300億ドルものユーザー預金を保護する業界が、まるでオプションの追加サービスを購入するかのように、リスク管理やセキュリティ対策に投資している。

弱気相場でも攻撃者の活動は鈍らないが、リスク管理とセキュリティ対策の予算は減少する。

この分野で5年間働いてきた経験から、信念に基づいて資金提供されている分野と、真のニーズに基づいて資金提供されている分野の違いを理解しています。

規制当局に言われなくても、あなたはそれを理解しているはずだ。

アプリがユーザーからの入金を受け付けるようになったなら、おめでとうございます!あなたはリスクビジネスに参入したことになります。プロトコルがインフラストラクチャ、イールドプラットフォーム、あるいは分散型プラットフォームなど、どのような形態をとろうとも、価値をホストしたりレバレッジを提供し始めた瞬間から、リスク管理はオプションとなります。

これは単に一人の参加者だけの問題ではない。

これは、各参加者がリスクを他者の責任とみなす合理的な理由を持つサプライチェーンである。

投資家は成長性を評価する。監査人は監査範囲を絞り込む。取引所は上場を最適化する。保管機関は厳格な管理要件を課さない。誰も非合理的ではない。それが問題なのだ。

システムはインセンティブメカニズムの予測通りに機能していたが、脆弱性が悪用されたことで、リスクは常に全員が共有しているということを改めて認識させられた。

もし金融の未来がオンチェーンにあるとすれば、その道筋は、世界の資本を受け入れるにふさわしいシステムを構築することである。

より良い(?)経済的利益のために、ユーザーがより多くのリスクを許容することを要求するシステムではなく。

動機と結果

市場はこの層を構築するか、あるいはその欠如に対する代償を払い続けるかのどちらかだ。

機関がDeFiを検証し、そのリスクモデルがリスクエクスポージャーを正当化するほど成熟していないと判断した場合、それは単なる仮説上のコストではありません。それは、業界があらゆるサイクルで、悪用や回避可能な損失とともに支払うことになる、測定可能なコストなのです。

この分野で5年間働いてきて、私はあることに気づきました。市場における他のあらゆるインセンティブがプロトコルを逆方向​​に引っ張っている状況では、プロトコルがリスクとセキュリティのインフラへの投資を選択する際に、独立性と一貫性を維持することは期待できないということです。

自主的な取り組みというモデルは限界に達している。事件後の有罪判決をどれだけ重ねても、この限界を恒久的に引き上げることはできない。無責任さを助長するシステムの中で、個々の創業者やチームに責任感を高めるよう求めるのは、戦略とは到底言えない。

しかしながら、私はこれまでとは異なる状況が生まれつつあると考えています。オンチェーン金融と従来型金融の融合は、多くの人が想像していたよりも速いスピードで進んでいます。両者の境界線が曖昧になるにつれ、仮想通貨業界が好むと好まざるとにかかわらず、規制の圧力は増大しています。この分野に参入する機関は、自社のコンプライアンス要件、調達プロセス、リスク管理体制を持ち込んでいるのです。

仮想通貨はこれまで独自の標準規格を確立したことがなく、最終的には標準規格なしでは機能できない人々によって導入される可能性がある。

同時に、より根本的な変化も起きています。金融史の大半において、最高レベルのリスクインテリジェンスは機関投資家の予算によって制限されていました。しかし、AIの登場により、そのアクセス手段が変わりつつあります。今や、利用するアプリケーションがリスク管理やセキュリティ対策に投資しているかどうかに関わらず、機関投資家レベルのリスクツールをユーザーや投資家に直接提供することが可能になりつつあります。

しかし、技術だけでは市場構造の問題を解決することはできない。

業界は依然としてその真の価値を判断する必要がある。

毎回、私たちは前回の不正行為は警鐘であり、今後は状況が変わるだろうと自分に言い聞かせる。

仮想通貨の世界は、新たな金融基盤の発明において卓越した能力を発揮してきた。しかし、人々がそれらに寄せる信頼に見合うだけのセキュリティを確保することは、技術的な課題である。そして、私はその技術が初めて実現したと考えている。だが、業界が「セキュリティ」を単なる付加的な要素ではなく、必要不可欠な要素だと認識して初めて、技術的な取り組みは意味を持つようになる。

インセンティブを見せてくれれば、結果をお見せしよう。

共有先:

著者:比推BitPush

本記事はPANews入駐コラムニストの見解であり、PANewsの立場を代表するものではなく、法的責任を負いません。

記事及び見解は投資助言を構成しません

画像出典:比推BitPush。権利侵害がある場合は著者へ削除をご連絡ください。

PANews公式アカウントをフォローして、強気・弱気相場を一緒に乗り越えましょう
Telegram交流グループ
Telegram情報チャンネル
@PANews
おすすめ記事
Vitalik Buterin

Vitalik Buterin

Vitalik の新しい仕事: フルスタックのオープン性と検証可能性はなぜそれほど重要なのか?
BlockWeeks

BlockWeeks

当巴基斯坦把“加密货币”变成南亚博弈的国策
PA一线

PA一线

WOO X: ほとんどの出金は処理されており、影響を受けたアカウントの残高は48時間以内に回復されます。
一周预告

一周预告

週次プレビュー | ホワイトハウスのデジタル資産市場ワーキンググループは7月22日に最初の暗号資産政策報告書を発表する予定。連邦準備制度理事会は銀行資本に関する会議を開催する。
HashKey Exchange

HashKey Exchange

HashKey ExchangeとCoins.phは、準拠したデジタル資産サービスチャネルを構築するために戦略的協力関係を結んだ。
PA一线

PA一线

ケニアの大手銀行が内部攻撃を受け、約400万ドルの損失を被った。USDTはマネーロンダリングに利用された。

人気記事

業界ニュース
市場ホットスポット
厳選読み物
購読をクリック
PANewsアプリ
24時間ブロックチェーン業界情報を追跡し、深掘り記事を解析。
PANewsアプリをダウンロード
App StoreGoogle Play
PANews APP
AsterはBAY永久契約を発売し、5万ドルのASTERトレーディング報酬プログラムを開始しました。
PANews 速報